長い時間が経ちましたが、TikTokが児童データの処理において欧州連合の一般データ保護規則(GDPR)に違反していたことがついに判明しました。アイルランドのデータ保護委員会(DPC)が本日発表した決定によると、ビデオ共有プラットフォームは叱責され、3億4,500万ユーロ(約3億7,900万ドル)の罰金が科せられた。また、違法なデータ処理を遵守させるために3か月以内に是正を完了するよう命じられた。
TikTok は、GDPR の次の 8 条に違反したことが判明しました。第 5 条(1)(a)。第 5 条(1)(c);第 5 条(1)(f);第 24 条第 1 項;第 25 条第 1 項;第 25 条第 2 項;第 12 条(1);第 13 条 (1)(e) - つまり、データ処理の合法性、公平性、透明性への違反です。データの最小化。データのセキュリティ。管理者の責任。設計およびデフォルトによるデータ保護。未成年者を含むデータ主体がデータ処理に関する明確な通知を受け取る権利。個人データの受信者に関する情報を受け取るため。これは、違反のかなり網羅的なリストです。
この決定では、一部の地域規制当局の前でTikTokにとって火種となっているTikTokの年齢確認方法の違反は認められなかったが、アイルランドの規制当局は、決定がGDPR第24条第1項への違反を文書化したものであると指摘した - デフォルトのアカウント設定では、年齢に関係なく誰でもアクセスできるため、TikTokは13歳未満の子供がプラットフォームにアクセスすることによってもたらされる特定のリスクを適切に考慮していないため、適切な技術的および組織的措置を講じていないと発表した。 TikTok かどうかに関係なく、これらのユーザーが投稿したソーシャル メディア コンテンツを表示できます。
この時点で TikTok が実装した設定により、登録プロセス中に子ユーザーのアカウントがデフォルトで公開に設定されることが判明しました。 「これは、たとえば、子ユーザー アカウントに投稿されたビデオはデフォルトで公開ビデオになり、コメントはデフォルトでパブリック コメントになり、『デュエット』と『スティッチ』機能がデフォルトで有効になることも意味します」と DPC は述べています。
いわゆる「ファミリー マッチ」機能を通じて、子供アカウントを未確認の子供以外のユーザーと「マッチング」することもできますが、TikTok はユーザーが実際に子供ユーザーの親または保護者であるかどうかを確認しません。 DPCの調査結果によると、児童以外のユーザーもこの機能を利用して16歳以上の児童ユーザーにダイレクトメッセージを送信できるため、「これにより児童ユーザーに対する機能の厳格さが緩和される」という。